Руководство по настройке SPF, DKIM и DMARC

2 646
Руководство по настройке SPF, DKIM и DMARC

У каждого домена-отправителя должны быть прописаны SPF, DKIM и DMARC. Без этого доставляемость писем будет очень низкая или они будут попадать в СПАМ. Для того чтобы прописать необходимые записи, вам нужен доступ к DNS (Domain Name System). Разбираемся с терминами и настройкой.

Настройка SPF

SPF (Sender Policy Framework) — указывает, каким почтовым серверам разрешено отправлять электронную почту от имени вашего домена. Представьте, курьер принёс вам посылку домой, но, вы не знаете от кого, поэтому решили проверить безопасность посылки и звоните в службу доставки, а также спрашиваете, есть ли у них такой сотрудник и может ли он приносить вам посылки. SPF — это список таких «сотрудников», которые могут доставлять вам посылки. Важное правило: одна SPF запись для одного домена.
Примером обычной SPF записи: «v=spf1 +a +mx ‑all».

Синтаксис SPF записи:

«v=spf1» — используемая версия SPF.
«+» — принимать почту. Этот знак не является обязательным.
«-» — отклонять почту.
«~» — принимать почту, но фильтровать её в «Спам».
«?» — применяют к письму обычные правила.
«mx» — IP адреса всех серверов, указанных в DNS записях типа MX для домена.
«ip4» — можно указать конкретные IPv4 адреса.
«ip6» — можно указать конкретные IPv6 адреса.
«a» — IP адреса, которые указаны в DNS записях типа A для домена.
«include» — разрешает применение SPF другого домена.
«all» — устанавливает правила для других доменов, которых нет в SPF записи.

Как добавить запись SPF TXT

Чтобы включить проверку SPF, добавьте в настройки домена запись TXT.
1. Войдите в аккаунт своего домена.
2. Откройте страницу, где можно обновить записи DNS. Эта страница может называться DNS management (Управление DNS), Name server management (Управление серверами доменных имён) или Advanced settings (Расширенные настройки).
3. Найдите записи TXT и проверьте, есть ли среди них запись SPF. Как писали выше, она начинается с v=spf1.
4. Если в домене есть запись SPF, удалите её. Если нет — переходите к шагу 5.
5. Создайте запись TXT с указанными ниже значениями.
6. Введите в поле Name/Host/Alias (Имя/хост/псевдоним) знак @ или оставьте его пустым. Правильное значение может быть указано в других записях DNS для вашего домена.
7. В поле Time to Live (TTL) (Время жизни) введите 3600 или оставьте значение по умолчанию.
8. В поле Value/Answer/Destination (Значение/ответ/назначение) введите v=spf1 include:_spf.google.com ~all.
9. Сохраните изменения.
Новая запись SPF начнёт действовать в течение 48 часов.
Проверить SPF-запись на сайте.

Настройка DKIM

DKIM подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Эта запись проверяется автоматически перед попаданием в почтовый ящик получателя. Если домен не авторизован для отправки сообщений, то письмо может улететь в спам.
Подписи DKIM повышают уровень безопасности электронной почты и помогают предотвращать спуфинг. Рекомендуем применять собственный ключ DKIM для всех исходящих сообщений.

Как настроить ключ DKIM:

  1. Создайте ключ домена DKIM.
  2. Добавьте ключ в записи DNS домена. Он будет применяться на серверах электронной почты для расшифровки заголовков DKIM.
  3. Включите подпись DKIM для исходящих сообщений электронной почты.
    Проверить DKIM на сайте.

Настройка DMARC

DMARC показывает, что делать с письмами, не прошедшими проверок SPF и DKIM.
Существует три типа правил DMARC, которые определяют действия с подозрительными сообщениями:
• не предпринимать никаких действий с сообщением;
• отметить сообщение как спам;
• отклонить сообщение (касается серверов получателя).

Чтобы настроить проверку DMARC, добавьте соответствующие правила в записи DNS домена. Их можно добавить в виде записей TXT. Для этого в своём домене выполните такие действия:
1. Войдите в консоль управления своего регистратора домена.
2. Перейдите на страницу, на которой можно изменить записи DNS.
Субдомены. Если ваш регистратор не позволяет обновлять записи DNS субдомена, добавьте запись в родительский домен.
3. Добавьте запись DNS в разделе _dmarc.

TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Название хоста DNS) введите следующее:
_dmarc.ваш домен.com

TXT record value (Значение записи TXT). Во втором поле введите значения для правила DMARC, например:
v=DMARC1; rua=mailto:dmarc-reports@ваш домен.com; p=quarantine; pct=90; sp=none

4. Сохраните изменения.
Проверить DMARC на сайте.


2 647